# This Page Is Inserted by IFW Operations and is not a part of the Official Record

### **BEST AVAILABLE IMAGES**

Defective images within this document are accurate representations of the original documents submitted by the applicant.

Defects in the images may include (but are not limited to):

- BLACK BORDERS
- TEXT CUT OFF AT TOP, BOTTOM OR SIDES
- FADED TEXT
- ILLEGIBLE TEXT
- SKEWED/SLANTED IMAGES
- COLORED PHOTOS
- BLACK OR VERY BLACK AND WHITE DARK PHOTOS
- GRAY SCALE DOCUMENTS

## IMAGES ARE BEST AVAILABLE COPY.

As rescanning documents will not correct images, please do not report the images to the Image Problem Mailbox.

THIS PAGE BLANK (USPTO)

```
Patent Number :
  DE19841183 A1 20000316 [DE19841183]
Patent Number 2 :
  DE19841183 C2 20000810 [DE19841183]
  (A1) Vorrichtung und Verfahren zur Kopplung von redundanten
  elektronischen Schaltungen über redundante Busse ohne
  Fehlerfortpflanzung
Other Title 2:
  (C2) Vorrichtung zur Kopplung von redundanten elektronischen Schaltungen
  über redunante Busse ohne Fehlerfortpflanzung
Patent Assignee :
  (A1) DAIMLER CHRYSLER AG
                            (DE)
Patent Assignee 2 :
  (C2) DAIMLER CHRYSLER AG
                            (DE)
Inventor(s):
  (A1) PIRNER GERHARD
                       (DE); MITTERMAIER JOHANN
                                                 (DE)
Inventor 2:
  (C2) PIRNER GERHARD
                       (DE); MITTERMAIER JOHANN
                                                 (DE)
Application Nbr :
  DE19841183 19980909 [1998DE-1041183]
Priority Details :
  DE19841183 19980909 [1998DE-1041183]
Intl Patent Class :
  (A1) G06F-011/16
Intl Patent Class 2:
  (C2) G06F-011/16
Document Type :
  Basic
Publication Stage:
  (A1) Doc. Laid open (First publication)
Publication Stage 2 :
  (C2) Patent Specification (Second publication)
  The invention relates to a device and a method for coupling redundant
  electronic circuits, by means of which an apparatus is guaranteed to
  remain functional and experience no subsequent errors in case of failure
  of one or more of its components. Even multiple errors are compensated
  for, provided they differ in type. To this end the device has a main
  branch and a redundant branch which each comprise all modules and are
  able to communicate via a bus. The individual modules of each branch are
  connected to separate current supply units. In case of failure of a
 module in the main branch its function is assumed by the corresponding
 module in the redundant branch. In case of errors in both redundant
```

modules such errors can also be compensated for, provided they do not

affect the same function of said modules.

Update Code : 2000-10

THIS PAGE BLANK (USPTO)



19 BUNDESREPUBLIK DEUTSCHLAND

Offenlegungsschrift m DE 19841 183 A 1

(5) Int. Cl.<sup>7</sup>: G 06 F 11/16

⋖

DEUTSCHES

PATENT- UND MARKENAMT (2) Aktenzeichen:

198 41 183.9

② Anmeldetag:

9. 9. 1998

(43) Offenlegungstag:

16. 3. 2000

(71) Anmelder:

DaimlerChrysler AG, 70567 Stuttgart, DE

(72) Erfinder:

Pirner, Gerhard, 81739 München, DE; Mittermaier, Johann, 85655 Großhelfendorf, DE

56 Entgegenhaltungen:

33 38 341 A1

Technische Rundschau, 36/86, S. 76-79;

Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen

Prüfungsantrag gem. § 44 PatG ist gestellt

- (3) Vorrichtung und Verfahren zur Kopplung von redundanten elektronischen Schaltungen über redundante Busse ohne Fehlerfortpflanzung
- Die Erfindung bezieht sich auf eine Vorrichtung und ein Verfahren zur Kopplung von redundanten elektronischen Schaltungen, mit der bei Ausfall eines oder mehrerer Bauteile die Funktionalität des Gesamtgeräts garantiert erhalten bleibt und kein Folgefehler entsteht. Es werden auch Mehrfachfehler kompensiert, solange sie unterschiedlichen Typs sind. Dazu weist die Vorrichtung einen Haupt- und einen Redundant-Zweig auf, die jeweils alle Module umfassen und über einen Bus untereinander kommunizieren können. Die einzelnen Module jedes Zweigs sind mit eigenen Stromversorgungen verbunden. Bei Ausfall eines Moduls im Haupt-Zweig wird seine Funktion vom entsprechenden Modul im Redundant-Zweig übernommen. Bei Fehlern auf beiden redundanten Modulen können diese auch kompensiert werden, sofern nicht die identische Funktion der Module von den Fehlern betroffen ist.

#### DE 198 41 183 A 1

1

#### Beschreibung

Die Erfindung bezieht sich auf eine Vorrichtung und ein Verfahren zur Kopplung von redundanten elektronischen Schaltungen über Mehrfachbussysteme.

Damit ist es möglich, zwei Geräte in ein Gerät zu integrieren, wobei das entstandene Produkt nicht nur auf Geräteebene redundant ist, sondern die einzelnen Funktionsblöcke eines Gerätes sind von jedem Gerät ansprechbar, was die Verfügbarkeit des Gesamten erhöht verglichen mit zwei isolierten Geräten.

Die Redundanz – das Vorhandensein eines funktional identischen Gerätes – wird benötigt, um den Ausfall eines elektronischen Bauteils zu kompensieren, d. h. ein solcher Ausfall darf nur zum Verlust des betroffenen Gerätes führen, nicht aber auch zum Verlust des redundanten Gerätes. Dies ist besonders beim Einsatz in der Raumfahrt, ebenso aber auch bei sicherheitskritisehen Anwendungen notwendig.

Es sind zwar bereits Mehrfachbussysteme wie auch Mehrrechnersysteme – redundante Rechnersysteme – be- kannt, beispielsweise aus der DE 33 38 341 und der DE 33 28 405, jedoch ist dort eine Realisierung der Koppeleinheiten in Bezug auf Fehlertoleranz sowie Unterdrückung der Fehlertortpflanzung nicht ersichtlich. So ist in der DE 33 38 341 die Verbindung der Koppler untereinander eine Quelle für einen Einzelfehler (auch single point failure genannt), der zu einem Totalausfall des Gesamtgeräts führen kann. Auch die einfache Entkopplung der Busse mit nur einem Treiberbaustein ist zur Verhinderung einer Fehlerfortpflanzung nicht ausreichend, d. h. ein Kurzschluß in einem Koppler bewirkt einen Betrieb des nächsten Kopplers außerhalb der Bauteilespezifikation.

In der Raumfahrt werden besonders CMOS-Logikfamilien wegen der geringen Leistungsaufnahme eingesetzt. Doch bei der CMOS-Technik ergibt sich das Problem der parasitären Dioden an den Ein- und Ausgängen. Bei einer ausgeschalteten Versorgungsspannung leiten diese Dioden außen anliegende Signale niederohmig ab, eine einfache Zusammenschaltung zu einem Bussystem ist nicht fehlerfortpflanzungsfrei.

Im US-Patent 5 117 129 ist eine Methode beschrieben, wie diese parasitären Dioden umgangen werden können. Dies erfordert aber eine Änderung der integrierten Schaltungen in der beschriebenen Weise. Diese integrierten Schaltungen sind jedoch nur von einem Hersteller beziehbar (somit ist keine zweite Beschaffungsquelle vorhanden) und aufgrund der speziellen Entwicklung ergibt sich ein hoher Preis und eine schlechte Verfügbarkeit. Auch wird in der US 5 117 129 auf eine mögliche Fehlerfortpflanzung bei Defekt der Koppelschaltung selbst nicht eingegangen.

Daher ist es Aufgabe der vorliegenden Erfindung, eine Vorrichtung und ein Verfahren zur Kopplung von redundanten elektronischen Schaltungen über Mehrfachbussysteme auszubilden, bei dem bei Ausfall eines einzigen Bauteils die Funktionalität des Gesamtgeräts garantiert erhalten bleibt 55 und kein Folgefehler entsteht.

Erfindungsgemäß wird diese Aufgabe durch die im Patentanspruch 1 bzw. 11 angegebenen Merkmale gelöst. Weitere vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung werden in den Unteransprüchen angegeben.

Weitere Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung werden aus der nachfolgenden Beschreibung eines bevorzugten Ausführungsbeispiels in Verbindung mit der Zeichnung offensichtlich.

Es zeigen:

Fig. 1 eine Gesamtkonfiguration des redundanten Rechners,

Fig. 2 den grundsätzlichen Aufbau von Master-Modulen,

Fig. 3 den grundsätzlichen Aufbau von Local Bussen für Slave-Module,

Fig. 4 den Aufbau eines Kopplers für den Bus-Master,Fig. 5 und 6 den Aufbau des Kopplers für ein heiß hzw.kalt redundantes Modul und

Fig. 7 und 8 einen Buszyklus (Inter Module Bus Cycle). Die vorliegende Erfindung berücksichtigt alle relevanten Raumfahrtanforderungen zum Betrieb eines redundanten Rechnersystems. Die wichtigste Aufgabe ist die Abdeckung von Einzelfehlern, die in keinem Fall zu einer Fehlerfortpflanzung führen dürfen. Die Erfindung deckt aber auch Mehrfachsehler ab. sotern sie unterschiedlichen Typs sind.

In Fig. 1 ist die Gesamtkonfiguration des redundanten Rechners dargestellt. Der Rechner beinhaltet jede elektrische Schaltungsfunktion (kurz Modul genannt) doppelt wie auch das Bussystem, genannt Local Bus, wobei man von einem Haupt- bzw. Main(M)-Zweig (alle Main(M)-Module und Local-Bus-Main) und einem Redundant(R)-Zweig (alle Redundant(R)-Module und Local-Bus-Redundant) spricht. Über die Busse können alle Module kommunizieren, also das Prozessor-Modul-Main mit z. B. Reconfiguration-Modul-Redundant, wobei der Transfer sowohl über den Local-Bus-Main als auch über den Local-Bus-Redundant abgewickelt werden kann. Somit erzielt man eine weit höhere Verfügbarkeit als mit einem redundanten Rechnersystem bestehend aus zwei einzelnen Rechnern.

Bei Einzelrechnern führt ein Einzelfehler bereits zu einem Ausfall des betroffenen Rechners. In der hier beschriebenen erfindungsgemäßen Konfiguration führt ein Fehler eines Moduls zu dessen Nichtverwendbarkeit, die anderen Module des Zweigs bleiben verfügbar, was zu einer höheren Gesamtzuverlässigkeit führt (die Zuverlässigkeit eines Systems steigt je mehr Funktionen parallel verfügbar sind).

Die einzelnen Module sind je nach Typ heiß-redundant, d. h. die Versorgungsspannung ist immer anliegend, oder kalt-redundant, d. h. nur ein Modul des selben Typs ist aktiv. Heiß-redundante Module sind die beiden SGM-Speichermodule, in die die aktuellen Systemdaten redundant abgelegt werden können, damit diese Daten auch sicher zur Verfügung stehen. Beim Rücklesen der Daten werden diese auf ihre Plausibilität geprüft und, wenn nötig, die redundanten Datensätze verwendet. Bei den kalt-redundanten Modulen wird im Fehlerfall das zuvor aktive Modul ausgeschaltet und das andere typgleiche Modul eingeschaltet. Zur Vermeidung einer Fehlerfortpflanzung besitzt jedes Modul bzw. beim Neubildungs-Modul/Sicherungs-Speicher-Modul (Reconfiguration-Modul/Safeguard-Memory-Modul=RM/ SGM) jede Modulgruppe eine eigene Stromversorgung. Diese Versorgungen sind mit Strombegrenzungen ausgestattet, ein Fehler wie z. B. Kurzschluß der Ausgangsspannung wirkt sich elektrisch und thermisch nicht negativ auf die anderen Module aus.

Ein Fehler in einem Stromversorgungseingang wird durch Verwendung von zwei Versorgungszweigen POWER1 (für den Main-Zweig) und POWER2 (für den Redundant-Zweig) abgedeckt. Die Sicherungs-Speicher-Module SGM sind zur Datenerhaltung zusätzlich mit den separaten Versorgungszweigen SAFELINE1 bis SAFE-LINE4 abgesichert.

In dem in Fig. 1 beschriebenen Rechner sind die Prozessor-Module (PM) die Master-Einheiten zur Steuerung der Local-Busse, alle anderen Module sind Slave-Einheiten. Der Zugriff sowie die gesamte zeitliche Steuerung wird von dem jeweils aktiven Prozessor-Modul PM durchgeführt. Die Local-Bus-Koppler eines Zweiges (Main bzw. Redundant) aller Module sind ebenfalls mit eigenen Stromversorgungen verbunden, die jedoch mit der Stromversorgung des Prozessor-Modules PM ein- und ausgeschaltet werden. Diese Nut-

zung eines gemeinsamen Primärteils ist nicht zwingend notwendig, führt aber zu einer Verringerung des Aufwandes verglichen mit einer komplett eigenständigen Stromversorgung

Die Gesamtkonfiguration des Rechners umfaßt zusätzlich zu den vorstehend beschriebenen Modulen Umwandler-Module Converter(CV)-Module), Local Bus Interfaces (LB I/F) bzw. Local Bus Schnittstellen, Telemetrie/Fernbefehl TT&c (TM/TC)-Interfaces bzw. -Schnittstellen. Aktuatoren liefern Eingangssignale für den Rechner von Infrarot-Erd-Sensoren (RES), Präzisions-Sonnensensor-Elektronik (PSSE), Rädern sowie Miniatur-Intertial-Meßeinrichtungen (MIMU) und vereinheitlichter Antriebs-System-Elektronik (UPS-E). Den Umwandler-Modulen (CV-Modulen), die mit den SA-FELINES 1, 2 bzw. 3, 4 und/oder dem Versorgungszweig POWER1 bzw. POWER2 verbunden sind, werden Befehle hoher Priorität HPC1 bzw. HPC2 zugeführt. Dem Neubildungs(RM)-Modul werden Systemalarme sowie Konekturtriebwerk-Einschaltzeit-Alarme ("Thruster on-time alarms") zugeführt.

Fig. 2 beschreibt den grundsätzlichen Aufbau für die Master-Module. Die beiden Local-Busse werden mit den separaten Stromversorgungen Ausgang A bzw. Ausgang B des momentan aktiven Prozessor-Modules gespeist (wird von Ausgang C versorgt), wobei über die Dioden eine Rückversorgung der Stromversorgungen ausgeschlossen ist. Die Stromversorgungen A und B sind selbst tolerant gegenüber Rückversorgung, die Dioden verhindern eine Fehlerfortpflanzung bei einem Kurzschluß in der Stromversorgung A oder B. Die beiden Koppler werden über die Auswahllogik 30 gewählt, der aktive Koppler führt die Bussequenzen durch, die vom Prozessor und der Ablaufsteuerung vorgegeben werden.

In Fig. 3 ist der grundsätzliche Aufbau der Local-Busse für die Slave-Module beschrieben. Die beiden Busse sind 35 auch hier unabhängig voneinander. Jeder Bus ist mit einem Buskoppler ausgestattet, dessen Eigenschaft es ist, die komplette elektrische Trennung zwischen den Bussen und den Modulen durchzuführen. Dies wird durch separate Stromversorgungen sowohl für die Local-Busse als auch für die einzelnen Module sowie eine Entkopplung der Signalleitungen vom Modul zu den Bussen erreicht.

In den Fig. 4 bis 6 sind Schaltungen im Detail dargestellt. Es ist die Anbindung des Masters (Prozessor-Modul PM)) sowie eines heiß redundanten Modules (Sicherungs-Speicher-Modul SGM) und eines kalt redundanten Moduls (Neubildungs-Modul RM) stellvertretend dargestellt.

Fig. 4 zeigt den Aufbau eines Kopplers für den Bus-Master. Der Bus-Master kann jedoch mehrere Buskoppler bedienen. Die elektrische Trennung des Moduls zu einem Bus 50 wird für die Signale mit Serienwiderständen erreicht. Diese Serienwiderstände sind so dimensioniert, daß sie einerseits entsprechend niederohmig für dynamische Bussignale sind, andererseits den Treiber im Fehlerfall innerhalb seiner spezifizierten Werte halten und damit eine Fehlerfortpflanzung 55 verhindert wird. Die Trennlinie der verschiedenen Versorgungsspannungen befindet sich bei R2, R4, D1, R5, R7, R8, R12. An dieser Linie wird eine Fehlerfortpflanzung verhindert. Wenn kein Buszugriff erfolgt, befinden sich die Steuersignale für die Buskoppler auf niedrigem Pegel. Für den Bu- 60 skoppler ist es kein Unterschied, ob ein Modul inaktiv oder ausgeschaltet ist. Über die Inverter IC3 und IC4 wird der Local-Bus für das aktive Prozessor-Modul PM angesteuert bzw. für das andere Prozessor-Modul PM bei niedrigem Pegel freigegeben (die G-Signale sperren bei hohem Pegel die 65 Bausteine IC1 und IC5). Entsprechend dem Status des Signals KOPPLERAUSWAHL hat entweder das Prozessor-Modul(PM)-Main oder -Redundant mit den Leitungen be-

zeichnet als Steuersignale mit Anzahl m die Buskontrolle, wobei beide Prozessor-Module PM nicht gleichzeitig Buszugriff haben. Dies wird durch das Prozessor-Modul-interne Signal Testmode hei gleichzeitigem Betrieh zweier Prozessor-Module PM verhindert (ein Prozessor-Modul PM in normaler Funktion, das zweite Prozessor-Modul PM im Testmode). Über das Signal GATE\_1 steuert das aktive Prozessor-Modul PM den n Bit breiten ADRESSEN\_DATEN-Bus zu dem Local-Bus. Die doppelte Trennung des Prozesor-Modul(PM)-Datenbusses mit IC2 ist notwendig, um im Fall des Kurzschlusses eines Buskopplers auf dem Prozessor-Modul(PM)-Datenbus noch den vollen Spannungshub zu haben. Bei einer direkten Verbindung der Buskoppler hinter R2 ergäbe sich nur mehr der halbe Spannungshub beim Lesen der Daten. Über D1 wird eine Rückspeisung der Versorgungsspannungen verhindert. Der Baustein IC4 ermöglicht die zeitlich versetzte Übertragung (Multiplexbetrieb) des ADRESSEN\_DATEN-Busses. Die Bausteine IC6 bis IC9, R9 bis R15 und T1 dienen der Interruptbearbeitung. Über die Stichleitungen SELEKT\_A\_B\_X werden die heiß-redundanten Module adressiert, die Entkopplung erfolgt hier über die Serienwiderstände x\*R16, wobei x die Zahl der heiß-redundanten Module ist.

Die Fig. 5 und 6 zeigen den Aufbau des Kopplers für ein heiß- bzw. kaltredundantes Modul. Auch hier ist die Anbindung nur eines Kopplers gezeigt.

Die Details der Anbindung eines heiß-redundanten Moduls sind in Fig. 5 dargestellt. Die Erkennung des aktiven Busses erfolgt mit dem Signal KOPPLER\_AKTIV. Dieses Signal ist mittels der Transistoren T21 sowie den Widerständen R35 bis R37 entkoppelt, was eine Stromeinspeisung in ein abgeschaltetes Modul verhindert. Für ein Slave-Modul wiederum ist eine Rückspeisung in einen nicht aktiven (oder defekten) Buskoppler nicht möglich, da sich alle Signale vom Slave-Modul zu dem nichtbenützten Buskoppler in der Trennlinie n\*R21, R23, R29 und R31 auf niedrigem Pegel befinden (logical low). Die Widerstände n\*R22, R24, R30, R32, m\*R34 und R37 bewirken einen definierten Pegel auf den entsprechenden Leitungen im Falle, daß das Signal nicht aktiv ist (bei undefinierten Eingangspegeln von CMOS Bauteilen ergibt sich eine unzulässig hohe Stromaufnahme). Nach der Erkennung des aktiven Local Busses steuert das ASIC die entsprechenden GATE\_- und DIR\_-Signale unter Benutzung der vom aktiven Prozessor-Modul PM generierten Bussequenz an. Diese Bussequenz wird über die STEU-ERSIGNALE mittels IC28 dem Slave-Modul mitgeteilt. Das IC27 verhinden hier eine Einspeisung in das Slave-Modul, wenn dies z. B. bei Fehler abgeschaltet wurde.

Die Übertragung der Adressen und Daten erfolgt zur Einsparung von Leitungen hintereinander. Die Modulauswahl für den Datentransfer erfolgt über den aktiven Bus mittels einer Adressierungsphase. In dieser Phase werden die Informationen über IC21 und IC22 zum ASIC geleitet. Die Moduladresse wird durch eine Logikschaltung im ASIC erkannt und in der darauffolgenden Datenphase werden IC21 bzw. IC22 entsprechend geschaltet. In Fig. 7 und Fig. 8 ist ein solcher Buszyklus (genannt Inter-Module-Bus-Cycle) im Detail dargestellt.

Zur einfachen Anpassung an ein Prozessorsystem wurde die Breite des ADRESS\_DATEN-Busses mit 16 Leitungen gewählt. In der Adressierungsphase ist ein definierter Bereich dieser Leitungen für die Moduladresse reserviert, wobei diese Adresse im Gesamtsystem nur einmal vorkommt, d. h. im Main-Zweig und im Redundant-Zweig gibt es keine gleichen Adressen. Mit dieser Auslegung ist es möglich, auch bei den kalt-redundanten Modulen beide anzuschalten. Damit ergibt sich die Fähigkeit, auch Fehler auf beiden der redundanten Module abzufangen, sofern nicht die identische

45

Funktion der Module von den Fehlern betroffen ist.

Die heiß-redundanten Module benötigen einen Mechanismus zum Deaktivieren des Buskopplers. Ansonsten ist es möglich, daß im Fehlerfall ein solches Modul alle an ihm hängenden Buskoppler aktiv auf Schreiben auf den Local-Bus schaltet und somit alle Local-Busse blockiert sind. Dies wird durch die Schaltung mit R25 bis R28 sowie von IC23 bis IC26 erreicht. Wenn keine vom aktiven Prozessor-Modul (PM) kommende Stichleitung SELEKT\_A bzw. SELEKT\_B auf logisch High-Pegel geschaltet ist, wird jede Einwirkung vom Slave-Modul zu einem Local-Bus unterbunden.

Die Dioden m\*D21 verhindern beim möglichen Ausschalten des Slave-Moduls eine unzulässig hohe Spannung an den Eingängen des ASIC gegenüber der Versorgungs15 spannung

Interrupts von heiß-redundanten Modulen werden als EINZELINTERRUPT zu den Prozessor-Modulen PM geführt. Dies erlaubt eine eindeutige und fehlerfortpflanzungsfreie Identifikation der Interruptquelle.

Die Anbindung eines kalt-redundanten Moduls ist in Fig. 6 dargestellt. Im Vergleich zu Fig. 5 eines heiß-redundanten Moduls ergeben sich zwei wesentliche Unterschiede. Dies ist die fehlende Auswahl der Module mit SELEKT-Leitungen sowie eine andere Interruptverarbeitung.

Die Steuerung des ADRESSEN\_DATEN-Busses erfolgt über GATE\_51 und IC53. Hier ist der Baustein IC53 nicht aktiv, wenn das Modul abgeschaltet ist. Die Steuerung des aktiven Local-Busses erfolgt wie in Fig. 5 durch das ASIC mit der durch das aktive PM-Modul vorgegebenen Sequenz. 30

Bei den kalt-redundanten Modulen gibt es einen BUSIN-TERRUPT. Dieser wird durch das ASIC generiert. Die Schaltung mit R68, R69, IC60 und IC61 sorgt hier für die notwendige Entkopplung. Damit verschiedene Interruptquellen erkannt werden können, wird vom ASIC aus bei der entsprechenden Bussequenz ein INTERRUPT\_VEC-TOR\_Y auf den ADRESSEN\_DATEN-Bus gelegt, der bei einem Interrupt über den Bus ebenfalls eine eindeutige Identifikation der Quelle erlaubt. Hierzu können die kalt-redundanten Slave-Module verschiedene ADRESSEN\_DATEN-Leitungen verwenden, sowie eine unterschiedliche VEK-TOR NUMMER ist selektierbar über y\*R59.

#### Patentansprüche

1. Vorrichtung zur Kopplung von redundanten elektronischen Schaltungen, mit:

jeweils einem Local-Bus für einen Main- (M) und einen Redundant- (R) Zweig und

Main-Modulen (I/F(M), PM(M), SGM(M), RM(M), 50 HPC2(M)) und deren Stromversorgungen (CV(M)) sowie entsprechenden Redundant-Modulen (I/F(R), PM(R), SGM(R), RM(R), HPC2(R)) und deren Stromversorgungen (CV(R)) für die jeweiligen redundanten elektronischen Schaltungen, wobei

alle Module der redundanten elektronischen Schaltungen über die Busse untereinander kommunizieren können,

bei einem Ausfall eines Moduls das jeweilige redundante Modul seine Funktion übernimmt, die anderen, 60 nicht ausgefallenen Module des Zweigs eingeschaltet

Signalleitungen vom Modul zu den Bussen durch Buskoppler entkoppelt sind.

2. Vorrichtung nach Anspruch 1, wobei jedes Modul 65 bzw. bei Neubildungs/Sicherungs-Speicher-Modulen (RM/SGM) jede Modulgruppe und die Local-Busse eine eigene Stromversorgung (CV-Module) aufweisen.

- 3. Vorrichtung nach Anspruch 1 oder 2. wobei bei einem Master-Modul die beiden Local-Busse für den Main- und den Redundant-Zweig mit separaten Stromversorgungen (A, B) des momentan aktiven Prozessor-Modules (PM) gespeist werden, wobei über Dioden eine Rückversorgung der Stromversorgungen ausgeschlossen ist.
- 4. Vorrichtung nach einem der Ansprüche 1 bis 3, wobei das jeweilige aktive Bussystem mittels eines entkoppelten Busauswahlsignals (KOPPLER\_AKTIV) erkannt wird.
- 5. Vorrichtung nach Anspruch 4, wobei die Entkopplung des Busauswahlssignals (KOPPLER\_AKTIV) mittels eines Transistors (T21; T51) sowie Widerständen (R35 bis R37; R65 bis R67;) erfolgt.
- 6. Vorrichtung nach einem der Ansprüche 1 bis 5, wobei bei Ausfall der Busauswahlsignale (SELEKT\_A, SELEKT\_B) jede Einwirkung vom Slave-Modul zu einem Local-Bus unterbunden ist.
- 7. Vorrichtung nach einem der Ansprüche 1 bis 6. wobei die Module heiß-redundant sein können, wobei die Versorgungsspannung immer anliegt, oder kalt-redundant sein können, wobei nur ein Modul desselben Typs aktiv ist.
- 8. Vorrichtung nach Anspruch 5, wobei heiß-redundante Module Sicherungs-Speicher-Module (SGM) sind, in die die aktuellen Systemdaten redundant abgelegt werden können.
- 9. Vorrichtung nach Anspruch 5, wobei bei den kaltredundanten Modulen im Fehlerfall das zuvor aktive Modul ausgeschaltet und das andere typgleiche Modul eingeschaltet wird.
- 10. Vorrichtung nach einem der Ansprüche 1 bis 5, wobei bei kalt-redundanten Modulen beide redundanten Module eingeschaltet werden können, um Fehler auf beiden redundanten Modulen abzufangen, solange nicht die identische Funktion fehlerhaft ist.
- 11. Verfahren zur Kopplung von redundanten elektronischen Schaltungen, mit den Schritten:
- Verbinden aller Module der redundanten elektronischen Schaltungen mit einem Local Bus Main (M) sowie einem Local Bus Redundant (R), so daß alle Module über die Busse untereinander kommunizieren können, Entkoppeln der Signalleitungen von den Modulen zu den Bussen und Erkennen einer Fehlfunktion eines Moduls und Übernehmen der Funktion dieses Moduls durch das jeweilige redundante Modul, wobei die anderen nicht ausgefallenen Module des Zweigs eingeschaltet bleiben.
- 12. Verfahren nach Anspruch 11, mit dem weiteren Schritt Versorgen jedes Moduls bzw. jeder Modulgruppe über eine eigene Stromversorgung (CV-Module).
- 13. Verfahren nach Anspruch 11 oder 12, mit dem weiteren Schritt Ausschließen einer Rückspeisung der Versorgungsspannungen (A, B) des Local Bus Main (M) bzw. Redundant (R) bei einem Kurzschluß in den Stromversorgungen des Local Bus Main (M) bzw. Redundant (R).
- 14. Verfahren nach einem der Ansprüche 11 bis 13, mit dem weiteren Schritt Erkennen des jeweiligen aktiven Bussystems mittels eines entkoppelten Busauswahlsignals (KOPPLER\_AKTIV).
- 15. Verfahren nach einem der Ansprüche 11 bis 14, mit dem weiteren Schritt automatisches Rückfallen bei Ausfall der Busauswahlsignale (SELEKT\_A, SE-LEKT\_B), wobei in diesem Fall alle Main-Module sich auf den Local Bus Main (M) und alle redundanten

BNSDOCID: <DE\_\_19841183A1\_I\_>

## DE 198 41 183 A 1

Module sich auf den Local Bus Redundant (R) aufschalten.

| Hierzu | 8 | Seite(n) | <b>Zeichnunger</b> | ) |
|--------|---|----------|--------------------|---|
|        | _ |          |                    |   |

- Leerseite -





902 071/189





902 071/189



ZEICHNUNGEN SEITE 4

Nummer: Int. Cl.7: Offenlegungstag:

DE 198 41 183 A1 G 06 F 11/16 16. März 2000



Fig. 5

DE 198 41 183 A1 G 06 F 11/16 16. März 2000



Fig. 6



Fig. 7



| Eingabe/Ausgabe(I/O)- |                | Ein/Ausgabe(I/O)-Zugriffszeit                 |  |  |
|-----------------------|----------------|-----------------------------------------------|--|--|
| RIGAT                 | <150ns         |                                               |  |  |
| twex                  | >150ns         | Schreib-Impuls-Länge                          |  |  |
| t <sub>w10DV</sub>    | >200ns         | Daten-Gültigkeits-Zeitraum                    |  |  |
| t <sub>rden</sub>     | >300ns         | Lese-Signalauswertungs-Ermächtigung           |  |  |
| L <sub>UTREN</sub>    | >400ns         | Schreib-Signalauswertungs-Ermächtigung        |  |  |
| t <sub>ende</sub> s   | >100ns         | Schreib-Signalauswertungs-Verbot              |  |  |
| LADVIOR               | >100ns         | Adresse vor Lesen gültig                      |  |  |
| t <sub>adviow</sub>   | >200ns         | Adresse vor Schreiben gültig                  |  |  |
|                       |                | ·                                             |  |  |
| Speicher              | schnittstellen | zyklen                                        |  |  |
| t <sub>MAD</sub>      | <150ns         | Speicheradresse-Signalauswertungs-Verzögerung |  |  |
| (EXCEL                | <250ns         | Externe Speicherauswahl                       |  |  |
| t <sub>edoel</sub>    | >105ns         | Lese-Verzögerungszeit                         |  |  |
| COEDV                 | <100ns         | Daten gültig nach Ausgabeermächtigung         |  |  |
| twn                   | >150ns         | Schreib-Impuls-Länge                          |  |  |
| t <sub>vzne</sub> ov  | >200ns         | Daten-Gültigkeits-Zeitraum                    |  |  |
| Lapv                  | <50ns          | Adresse gültig                                |  |  |
|                       |                |                                               |  |  |
| Halteze               | iten           |                                               |  |  |
| t <sub>RH</sub>       | >Ons           | Lese-Haltezei t                               |  |  |
| twon .                | >20ns          | Schreib-Ein/Ausgabe(I/O)-Haltezeit            |  |  |
|                       | >20ns          | Schreib-Speicher-Haltezeit                    |  |  |
| turnet .              |                |                                               |  |  |

Fig. 8